Trojaner im Namen des demokratischen Rechtsstaats

Hochoffiziell schicken sich deutsche Behörden zehntausende Screenshots mit privaten Daten mittels eigener virusartiger Software. Damit es noch mehr verschleiert wird nicht direkt, sondern über amerikanische Server. Und doch angeblich legitimiert, denn das LKA erwirkt einfach einen richterlichen Beschluss durch Falschaussagen und bewusstes Weglassen nicht unerheblicher Informationen. Die verantwortliche Politik zieht sich schön aus der Affäre, indem dem Bürger sauber ein Ammenmärchen nach dem anderen aufgetischt wird. Wenn es um rechtswidrige Ermittlungsmethoden geht scheinen sich Gesetzgeber und Politik plötzlich einig: Das Internet ist ein rechtsfreier Raum.

Die Ausrede, es sei genau definiert, was erlaubt ist und was nicht, ist vollkommen unhaltbar. Das bestätigen nicht nur jüngste Ergebnisse des Bundesdatenschutzbeauftragten Peter Schaar, denn sowohl der Chaos Computer Club („CCC“) sowie andere unabhängige Parteien haben bereits Ende 2011 offiziell bestätigt, dass die Software namens Bundestrojaner, oder neuerdings aufgrund der Herkunft auch Bayerntrojaner gekost, in der Lage ist, Programmteile nachzuladen.

Darüber hinaus musste man feststellen, dass die Schadsoftware Kommandos – etwa zum Fernsteuern eines Rechners – ohne jegliche Absicherung oder Authentifizierung annimmt und ausführt. Selbst wenn es also mit rechten Dingen zugehen sollte bleibt weiterhin die Frage, zu was eine gehackte Software in der Lage wäre. Privatsphäre, Datenschutz, Vertraulichkeit, Integrität? Nichts dergleichen wäre sicher.

Eine Illusion? Utopie? Nicht wirklich, denn der Code wurde bereits 2011 gehackt. Nun, der werte Herr Staatsminister Joachim Hermann, MdL. Bayerisches Staatsministerium des Innern, sieht sich dennoch bis heute im Recht und tut so, als verstehe er die Vorwürfe nicht. Dies hat er diese Woche erst bestätigt. Kein Wunder, dass der Landesvorsitzende der Jungen Liberalen, Matthias Fischbach, gestern im Namen der „Julis“ in einem offenen Brief hochoffiziell den Rücktritt Hermanns fordert: „Sie haben der Bevölkerung Unwahrheiten erzählt und es bis heute nicht zugegeben. Dieses höchst zweifelhafte Verhalten ist für uns politisch nicht länger tragbar. Wenden Sie weiteren Schaden von der Glaubwürdigkeit der Bayerischen Staatsregierung ab und treten Sie zurück!“. Miriam Gruß, Generalsekretärin der FDP Bayern bekräftigt die Vorwürfe; wenngleich sie das Rücktrittsgesuch in dieser Form nicht unterstützt.

Die Anfragen und Kritikvorwürfe aus politischen und rechtlichen Reihen sind nicht neu. Im April 2011 bereits wandte sich die Abgeordnete Susanna Tausendfreund (Bündnis 90/Die Grünen) in einem offenen Brief an die Verantwortlichen. Im Oktober 2011 befürwortete die Bundesjustizministerin Leutheuser-Schnarrrenberger den von der Polizeigewerkschaft geforderten „Software-TÜV“ für behördliche Spionageprogramme. Denn nichts anderes ist der Bayerntrojaner, so sieht das auch die Piratenpartei, die ebenfalls im Oktober letzten Jahres zusammen mit der Humanistischen Union wegen der behördlich eingesetzten Überwachungssoftware Strafanzeige gegen den Innenminister Joachim Hermann sowie weitere Personen erstattete. Der zeigte und zeigt sich uneinsichtig und unbeeindruckt. „Der Chaos Computer Club heisst so, weil er genau dieses Selbstverständnis hat“, sagte Hermann. Und weiter: „Das kann kein Partner sein für eine Behörde, die für Recht und Sicherheit steht.“. Vielleicht hätte man ihm damals die Frage stellen sollen, wen er sich denn als Partner vorstellt. Nun, die Diskussion um das Hackens um des Aufzeigens von Schwachstellen Willens ist so alt wie das Hacken selber. Aber darf man jemanden Verurteilen, ja gar öffentlich denunzieren, der auf Schwachstellen im System hinweist anstatt sie für illegale Zwecke auszunutzen? Die Parteikollegen der CSU sind sich einig, Bundesinnenminister Hans-Peter Friedrich setzte noch einen drauf: Der CCC mache „seinem Namen alle Ehre“ und die Piratenpartei hieße sowieso nur so, weil sie Produktpiraterie im Internet zum eigenen Programm erhoben hat. Nun ja, wenigstens ist man sich einmal einig, sogar mit den Wählern. Zitat aus dem Twitter Account eines CDU Mitglieds: „Liebe Berliner, ohne bayerische Schleierfahndung würde euer Auto wohl doppelt so oft geklaut werden“.

Wo ist der Bundestrojaner nun im Einsatz und wie kann man ihn rechtlich legitimieren? Oder eben nicht legitimieren? Definitiv ist er nicht neu, schon 2009 wurde dem Chaos Computer Club eine entsprechende Software zugespielt, die einem Ermittlungsverfahren der bayerischen Polizei zugeordnet werden kann. Wirklich publik wurde er erst durch die weiteren Untersuchungen anhand immer wieder „aufgetauchter“ Fragmente, die nicht zuletzt vom CCC gehackt und dadurch en Detail untersucht werden konnten. Denn bislang sagte auch LKA Präsident Uwe Kolmey, es werden ausschließlich Kommunikationsdaten aufgezeichnet, keine Screenshots, keine Festplattenzugriffe. Nur ist zwischenzeitlich nachgewiesen, dass nicht nur genau das eine Falschaussage ist. Nein, auch nachgewiesen ist, dass die Software viel mehr kann – bis hin zum Nachladen von Programmteilen sowie explizitem Ausführen von Code. Doch damit auch noch nicht genug, die Software wurde vom Hersteller Digitask nicht nur mangelhaft im Sinne der Rechtsprechung umgesetzt, zudem wurde vertraglich geregelt, dass niemand Einsicht in den Quellcode hat, d. h. weder Gesetzgeber noch unabhängige Dritte.

Bringen wir es auf den Punkt. Vater Staat beauftragt ein privatrechtliches Unternehmen damit, eine de fakto illegale Software zu entwickeln, die auf allen deutschen Rechnern vom Eigentümer und Nutzer unbemerkt im Hintergrund installiert wird und praktisch alle Daten ausspähen kann. Das Argument von Innenminister Reinhold Gall (SPD), die badenwürttembergische Polizei verwende nur eine Version, die in jedem Einzelfall so programmiert werde, dass sie der richterlichen Anordnung entspricht, zeigt dabei, wie macht- und hilflos sowohl Politik als auch Legislative und Judikative in Deutschland bei Fragestellungen aus der IT sind. Noch einmal: Die Software soll auf jedem Rechner laufen, kann beliebigen Code nachladen und die einzigen, die Zugang dazu haben, sind die Entwickler sowie Hacker. Auf jeden Fall ist es sehr vertrauenserweckend zu wissen, dass sogar Zollbeamte am Münchner Flughafen – also Bundesbehörden – Gebrauch davon machen.

Übrigens: Der Name Bayerntrojaner geht tatsächlich nur auf den Entwicklungsort zurück. Der Einsatz wurde bislang nachgewiesen in Bayern, Baden-Württemberg, Brandenburg, Niedersachsen und möglicherweise weiteren. In Rheinland-Pfalz wurde der Einsatz wohl nur vorbereitet, aber bislang nicht durchgeführt. Trojanerfreie Zone nennen sich selbst mitunter stolz nur Thüringen und Saarland sowie Berlin. Im Grunde schon ironisch stellt die Berliner Senatsverwaltung für Inneres fest: „Es gibt dafür keine gesetzliche Grundlage.“. Das erscheint soweit auch korrekt. Die Quellen-TKÜ ist zweifelsfrei nicht von der Vorschrift des § 100a StPO gedeckt, somit ist es Aufgabe des Gesetzgebers, hier endlich eine einheitliche und vertretbare Regelung zu schaffen. Nur so können so gravierende Beanstandungen wie bereits vom Bundesdatenschutzbeauftragten im Februar 2012 konstatiert, verhindert werden. Und nur so kann verhindert werden, dass diese Vorwürfe auch genau jetzt vom bayerischen Datenschutzbeauftragten Thomas Petri schon wieder bestätigt werden. Dessen Forderung nach „Trojaner-Gesetzen“ soll Licht in den – Zitat des Juristen – „tiefdunklen Graubereich“ bringen. Ob er das tiefdunkle Grau wörtlich gemeint hat? Bei der Landesregierung zeigte man sich jedenfalls erneut vollkommen desinteressiert.

Fakt ist: Der Bundestrojaner existiert und wird von keinem Virenscanner erkannt. Er kann Code nachladen, kann gehackt und von Dritten ebenso wie der befallene Rechner ferngesteuert werden, der Bundesgesetzgeber sieht keine Notwendigkeit einer Regelung in der Strafprozessordnung.

Ganz im Gegenteil: Da der Code binnen kürzester Zeit gehackt wurde und sich herausstellte, dass er ursächlich sogar fehlerhaft war – in 20% der getesteten Fälle waren nicht einmal Modifikationen oder Nachladen von Komponenten nötig, um beispielsweise Screenshots zu erstellen – hat das bayerische Innenministerium in Abstimmung mit Bund und Ländern das Bundeskriminalamt nun mit der Entwicklung einer eigenen Software beauftragt. Halleluja, die Politik gibt strittige Rechtsrahmen vor, minderwertiger Code führt zum Gau und das Resultat ist nicht etwa eine öffentliche Entrüstung sondern die Konsequenz, dass es das Kriminalamt selber entwickeln soll. Erhofft man sich vielleicht, dass es dann wenigstens keiner mitbekommt? Da fragt man sich doch, in welchem Jahrhundert wir eigentlich leben. Aber gut, wo der Bürger nicht klagt, da wird es auch keinen Richter geben – Schuld sind wir am Ende alle selber, wenn wir uns so behandeln lassen. Und Hermann behält am Ende wirklich Recht mit seiner Aussage, dass das alles nur ein peinlicher „Politik-Bumerang“ ist.

Bleibt nur die Frage, wo es enden wird? Nicht ganz, denn es hat gerade erst angefangen. Die EU Kommission hält sich raus, doch wird auf Arbeitsgruppenebene gerade der „Etsi Draft Technical Report DTR 101 657 v. 0.0.5“ diskutiert, der eine technische Schnittstelle bieten soll, die Sicherheitsbehörden die Echtzeitüberwachung von Cloud-Kommunikationsdaten ermöglicht. Dann können selbst wir als Rechenzentrum München, das höchsten Wert auf Compliance legt, nichts für den Schutz unserer Kunden tun. Sie nutzen keine Cloud Dienste? Na dann… gehören Sie zu den wenigen Menschen auf diesem Planeten, die kein Google, kein Amazon, kein Dropbox, aber auch kein Facebook und kein gMail, GMX oder web.de nutzen. Und die auch kein iPhone oder HTC Handy, kein Microsoft Office 365, keinen MSN Messenger, kein WhatsApp oder Skype und keine SMS nutzen. Glückwunsch!